Domande generali

Cos'è AWS Single Sign-On (AWS SSO)?

AWS Single Sign-On (AWS SSO) è il posto in cui crei o connetti le identità della forza lavoro in AWS una volta e gestisci l'accesso a livello centrale attraverso la tua organizzazione AWS. Puoi scegliere di gestire l'accesso solo ai tuoi account AWS o alle applicazioni cloud. Puoi creare identità utente direttamente in AWS SSO oppure importarle da Microsoft Active Directory o da un provider di identità basato su standard, come Okta Universal Directory o Azure AD. Con AWS SSO, ottieni un'esperienza di amministrazione unificata per definire, personalizzare e assegnare un accesso granulare. Gli utenti della forza lavoro ottengono un portale utente per accedere a tutti gli account AWS assegnati o alle applicazioni cloud. AWS SSO può essere configurato in modo flessibile per essere eseguito insieme o sostituire la gestione dell'accesso all'account AWS tramite AWS IAM.

Quali sono i vantaggi di AWS SSO?

AWS SSO può essere utilizzato per assegnare e gestire in modo semplice e veloce l'accesso dei dipendenti a più account AWS, applicazioni cloud con SAML (quali Salesforce, Microsoft 365 e Box) e applicazioni in-house personalizzate da un'unica posizione. I dipendenti possono essere maggiormente produttivi effettuando l'accesso con le loro credenziali Active Directory aziendali esistenti oppure tramite credenziali configurate su AWS SSO per accedere alle applicazioni dal portale utente personalizzato. Ora i dipendenti non devono più ricordare molteplici gruppi di credenziali e URL di accesso alle applicazioni cloud e i nuovi dipendenti possono essere produttivi sin da subito. Dopo aver aggiunto gli utenti al gruppo appropriato nella directory, questi disporranno automaticamente dell'accesso a account e applicazioni abilitati per i membri di quel gruppo. Avrai maggiore visibilità sull'utilizzo delle applicazioni cloud poiché puoi monitorare e controllare l'attività di accesso a livello centralizzato da AWS CloudTrail.

Quali problemi risolve AWS SSO?

AWS SSO elimina le complessità a livello amministrativo delle soluzioni SSO personalizzate utilizzate per effettuare il provisioning e gestire le identità tra gli account e le applicazioni di business di AWS. Quando si utilizzano più account AWS e si aggiungono periodicamente account, la configurazione di SSO con i servizi Active Directory Federation Services (AD FS) per accedere a tali account richiedere l'apprendimento del linguaggio di programmazione delle richieste AD FS personalizzate. È inoltre necessario preparare gli account AWS con le necessarie autorizzazioni per accedere a tali account. AWS SSO è inoltre disponibile senza costi aggiuntivi e riduce la complessità delle attività di configurazione ripetitive e di gestione disparata mediante una stretta integrazione con AWS. Se si utilizzano password separate per accedere ad account AWS o applicazioni cloud differenti, AWS SSO semplifica l'esperienza utente e migliora la sicurezza eliminando le password individuali necessarie per ogni account o applicazione di business di AWS sul cloud. AWS SSO risolve inoltre il problema correlato alla visibilità limitata dell'accesso alle applicazioni cloud integrandosi con AWS CloudTrail e offrendo una posizione centrale dove controllare l'accesso AWS agli account AWS e applicazioni cloud con SAML quali Microsoft 365, Salesforce e Box.

Qual è il vantaggio di utilizzare AWS SSO?

AWS SSO dovrebbe essere utilizzato per aiutare i dipendenti a essere rapidamente più produttivi concedendo loto accesso agli account e applicazioni cloud di business di AWS senza dover scrivere script personalizzati o investire in soluzioni SSO generiche. AWS SSO dovrebbe inoltre essere utilizzato per ridurre le complessità a livello amministrativo e i costi di configurazione e gestione dell'accesso SSO.

AWS SSO è il posto dove i dipendenti possono accedere agli account e applicazioni di AWS di cui hanno bisogno durante la giornata lavorativa dal portale utente AWS SSO, indipendentemente da dove siano sviluppate oppure ospitate tali applicazioni.

Cosa è possibile fare con AWS SSO?

AWS SSO può essere utilizzato per assegnare ai dipendenti l'accesso agli account AWS gestiti con AWS Organizations, alle applicazioni cloud di business (quali Salesforce, Microsoft 365 e Box) e alle applicazioni personalizzate che supportano Security Assertion Markup Language (SAML) 2.0 in modo semplice e veloce. I dipendenti possono accedere alle applicazioni di business da un singolo portale utente tramite le loro credenziali aziendali esistenti oppure tramite credenziali che configurano su AWS SSO. AWS SSO ti consente inoltre di verificare l'accesso degli utenti ai servizi cloud tramite AWS CloudTrail.

A chi è destinato AWS SSO?

AWS SSO è destinato agli amministratori che gestiscono più account e applicazioni di business di AWS, che desiderano centralizzare la gestione degli accessi utente a tali servizi cloud e offrire ai dipendenti una posizione unica dove poter accedere a tali account e applicazioni senza dover ricordare ulteriori password.

Come si inizia a usare AWS SSO?

In qualità di nuovo cliente AWS SSO, procedi come segue:

  1. Accedi alla Gestione della Console AWS dell'account principale nel tuo account AWS, quindi naviga nella console AWS SSO.
  2. Seleziona la directory che utilizzi per archiviare le identità di utenti e gruppi dalla console AWS SSO. AWS SSO fornisce ora una directory che puoi utilizzare come impostazione predefinita per gestire utenti e gruppi all'interno del servizio. Puoi inoltre cambiare directory per connetterti ad una directory Microsoft AD facendo clic su un elenco di istanze gestite Microsoft AD e AD Connector che AWS SSO individua automaticamente nel tuo account. Se desideri connetterti ad una directory Microsoft AD, consulta la sezione Nozioni di base su AWS Directory Service.
  3. Concedi agli utenti l'accesso SSO agli account AWS nella tua organizzazione selezionando gli account AWS da un elenco popolato da AWS SSO, quindi seleziona gli utenti o i gruppi dalla tua directory e le autorizzazioni che desideri concedere loro. 
  4. Concedi agli utenti l'accesso alle applicazioni cloud di business:
    1. Seleziona una delle applicazioni dall'elenco di applicazioni preintegrate supportate su AWS SSO.
    2. Configura l'applicazione attenendoti alle istruzioni di configurazione.
    3. Seleziona gli utenti o i gruppi che dovrebbero riuscire ad accedere a questa applicazione.
  5. Comunica agli utenti l'indirizzo Web di accesso AWS SSO generato quando hai configurato la directory, in modo che possano accedere ad AWS SSO, nonché agli account e alle applicazioni di business.

Quanto costa AWS SSO?

AWS SSO è disponibile senza costi aggiuntivi.

In quali regioni AWS è disponibile AWS SSO?

Per informazioni sulla disponibilità di AWS SSO per regione, consultare la tabella delle regioni di AWS.

Origini identità e supporto applicazioni

Quali origini identità posso utilizzare con AWS SSO?

Grazie ad AWS SSO, è possibile creare e gestire le identità utente nell’archivio identità di AWS SSO. In alternativa, consente di connettere facilmente la tua origine identità esistente tra cui Microsoft Active Directory, Okta Universal Directory, Azure Active Directory (Azure AD) o un altro provider di identità supportato. Consulta il Manuale dell’utente AWS SSO per ulteriori informazioni.

Posso connettere più di un'origine identità a AWS SSO?

No. È possibile avere una sola directory o provider di identità SAML 2.0 connessa a AWS SSO contemporaneamente. Tuttavia, è possibile cambiare l'origine identità collegata a una diversa.

Quali provider di identità SAML 2.0 è possibile utilizzare con AWS SSO?

Puoi connettere AWS SSO alla maggior parte dei provider di identità SAML 2.0, come ad esempio Okta Universal Directory o Azure Active Directory. Consulta il Manuale dell’utente AWS SSO per ulteriori informazioni.

Come posso eseguire il provisioning delle identità dal mio IdP esistente in AWS SSO?

È necessario effettuare il provisioning delle identità fornite dal provider di identità in AWS SSO prima di poter assegnare le autorizzazioni. È possibile sincronizzare automaticamente le informazioni su utenti e gruppi da Okta Universal Directory, Azure AD, OneLogin e PingFederate utilizzando lo standard SCIM (System for Cross-domain Identity Management). Per altri provider di identità è possibile effettuare il provisioning di utenti dal tuo provider di identità utilizzando la console AWS SSO. Consulta il Manuale dell’utente AWS SSO per ulteriori informazioni.

È possibile automatizzare la sincronizzazione dell'identità dal mio IdP in AWS SSO?

Sì. Se utilizzi Okta Universal Directory, Azure AD, OneLogin o PingFederate puoi usare SCIM per sincronizzare automaticamente le informazioni su utenti e gruppi dal tuo provider di identità ad AWS SSO. Consulta la Guida per l'utente AWS SSO per ulteriori informazioni.

Come connetto AWS SSO a Microsoft Active Directory?

È possibile connettere AWS SSO ad Active Directory (AD) in locale o a un AWS Managed Microsoft AD Directory utilizzando AWS Directory Service. Consulta il Manuale dell’utente AWS SSO per ulteriori informazioni.

Gestisco utenti e gruppi in Active Directory in locale. Come posso usufruire di questi gruppi e utenti in AWS SSO?

Per collegare Active Directory in hosting in locale ad AWS SSO sono disponibili due opzioni: (1) utilizzare AD Connector oppure (2) utilizzare una relazione di trust di AWS Managed Microsoft AD.

AD Connector connette semplicemente l'Active Directory in locale esistente a AWS. AD Connector è un gateway di directory in grado di reindirizzare le richieste di directory a una Microsoft Active Directory in locale senza memorizzare informazioni nella cache del cloud. Per connettere una directory in locale utilizzando AD Connector consulta Guida all’amministrazione di AWS Directory Service.

AWS Managed Microsoft AD semplifica la configurazione e l’esecuzione di Microsoft Active Directory in AWS. Può essere utilizzato per configurare una relazione di trust di insieme di strutture tra la directory in locale e AWS Managed Microsoft AD. Per configurare una relazione di trust, consulta la Guida all’amministrazione di AWS Directory Service.

Gestisco utenti e gruppi in AWS Identity and Access Management (IAM). Posso usare i miei utenti e gruppi IAM in AWS SSO?

Al momento AWS SSO non supporta utenti e gruppi di AWS IAM.

È possibile utilizzare i pool di utenti di Amazon Cognito come origine identità in AWS SSO?

Amazon Cognito è un servizio che aiuta a gestire le identità per le applicazioni orientate al cliente. Non è un'origine identità supportata in AWS SSO. È possibile creare e gestire le identità del personale in AWS SSO o nell'origine identità esterna tra cui Microsoft Active Directory, Okta Universal Directory, Azure Active Directory (Azure AD), o un altro provider di identità supportato.

AWS SSO supporta il browser, la riga di comando e le interfacce dei dispositivi mobili?

Sì, è possibile utilizzare AWS SSO per controllare l’accesso alla console di gestione AWS e CLI v2. AWS SSO consente agli utenti di accedere alla CLI e alla console di gestione AWS con un'unica autenticazione. L'app della console mobile di AWS supporta anche AWS SSO. In questo modo potrai ottenere un'esperienza di accesso omogenea tra browser, dispositivi mobili e interfacce a riga di comando.

Quali applicazioni cloud posso connettere a AWS SSO?

Ad AWS SSO è possibile connettere le seguenti applicazioni:

  1. Applicazioni integrate in AWS SSO: le applicazioni integrate in AWS SSO come SageMaker Studio e IoT SiteWise utilizzano AWS SSO per l'autenticazione e operano con le identità presenti in AWS SSO. Non è necessaria un'ulteriore configurazione per sincronizzare le identità in queste applicazioni o per configurare la federazione separatamente.
  2. Applicazioni SAML preintegrate: AWS SSO è disponibile con applicazioni aziendali preintegrate di utilizzo comune. Un elenco completo è disponibile nella console AWS SSO.
  3. Applicazioni SAML personalizzate: AWS SSO supporta le applicazioni che permettono la federazione delle identità utilizzando SAML 2.0. È possibile abilitare AWS SSO per supportare queste applicazioni utilizzando la procedura guidata personalizzata.

Accesso Single Sign-On agli account AWS

Quali account AWS è possibile collegare ad AWS SSO?

Ad AWS SSO è possibile aggiungere qualsiasi account AWS gestito tramite AWS Organizations. Per gestire gli account SSO è necessario attivare tutte le caratteristiche nella tua organizzazione.

Come posso configurare SSO sugli account AWS in un'unità organizzativa (OU) all'interno della mia organizzazione?

Puoi scegliere gli account all'interno dell'organizzazione oppure filtrarli per unità organizzativa.

Com'è possibile controllare le autorizzazioni degli utenti quando utilizzano AWS SSO per accedere al loro account?

Quando concedi l'accesso ai tuoi utenti, puoi limitare le loro autorizzazioni scegliendo un set di autorizzazioni. I set di autorizzazioni sono una serie di autorizzazioni che è possibile creare in AWS SSO, personalizzandoli in base alle policy gestite da AWS per le funzioni lavorative o qualsiasi policy gestita da AWS. Le policy gestite da AWS per le funzioni lavorative sono progettate per allinearsi il più possibile alle funzioni lavorative comuni nel settore IT. Se necessario, puoi anche personalizzare completamente il set di autorizzazioni in modo da soddisfare i tuoi requisiti di sicurezza. AWS SSO applica automaticamente tali autorizzazioni agli account selezionati. Se modifichi i set di autorizzazioni, AWS SSO ti consente di applicare facilmente tali modifiche ai relativi account. Quando gli utenti accedono agli account tramite il portale utente AWS SSO, tali autorizzazioni limitano ciò che possono fare all'interno degli account. Puoi anche concedere più set di autorizzazioni ai tuoi utenti. Quando accedono all'account tramite il portale utente, possono scegliere il set di autorizzazioni di cui hanno bisogno per tale sessione.

Come posso automatizzare la gestione delle autorizzazioni su più account?

AWS SSO fornisce il supporto per le API e AWS CloudFormation per automatizzare la gestione delle autorizzazioni negli ambienti multi-account e recupera programmaticamente le autorizzazioni a fini di audit e di governance.

È possibile implementare il controllo di accessi basato sugli attributi in AWS SSO?

Sì. AWS SSO consente di selezionare gli attributi dell'utente, come centri di costo, titoli o impostazioni locali, dall'origine identità, per poi utilizzarli per il controllo di accessi basato sugli attributi (ABAC) in AWS. È possibile definire le autorizzazioni una sola volta e poi concedere, revocare o modificare l'accesso AWS semplicemente modificando gli attributi nell'origine identità.

Come si selezionano gli attributi utente da utilizzare per ABAC?

Per implementare ABAC, è possibile selezionare gli attributi dallo storage delle identità di AWS SSO per gli utenti AWS SSO e gli utenti sincronizzati da Microsoft AD o da IdP SAML 2.0 esterni, tra cui Okta Universal Directory, Azure AD, OneLogin o PingFederate. Quando si utilizza un IdP come origine identità, è possibile inviare gli attributi come parte di un'asserzione SAML 2.0.

Per quali account AWS posso ottenere credenziali Interfaccia a riga di comando di AWS (CLI)?

Puoi ottenere credenziali AWS CLI per qualsiasi account AWS e autorizzazioni utente assegnate dall’amministratore AWS SSO. Le credenziali CLI possono essere utlizzate per l'accesso programmatico all’account AWS.

Per quanto tempo sono valide le credenziali AWS CLI ottenute dal portale utente AWS SSO?

Le credenziali AWS CLI ottenute tramite il portale utente AWS SSO sono valide per 60 minuti. Puoi ottenere una nuova serie di credenziali ogni qualvolta sia necessario.

Accesso SSO alle applicazioni di business

Come si configura SSO sulle applicazioni di business, ad esempio Salesforce?

Dalla console AWS SSO, accedi al riquadro delle applicazioni, scegli Configure new application, quindi scegli un'applicazione dall'elenco di applicazioni cloud che hanno AWS SSO integrato. Segui le istruzioni visualizzate sullo schermo per configurare l'applicazione. L'applicazione è ora configurata e puoi assegnare l'accesso. Scegli i gruppi e utenti ai quali vuoi concedere l'accesso all'applicazione, quindi seleziona Assign Access per completare la procedura.

La mia azienda utilizza applicazioni di business che non sono presenti nell'elenco delle applicazioni con AWS SSO integrato. Posso utilizzare ugualmente AWS SSO? 

Sì. Se la tua applicazione supporta SAML 2.0, puoi configurarla come applicazione SAML 2.0 personalizzata. Dalla console AWS SSO, accedi al riquadro delle applicazioni, scegliere Configure new application, quindi scegli Custom SAML 2.0 application. Segui le istruzioni per configurare l'applicazione. L'applicazione è ora configurata e puoi assegnare l'accesso. Scegli i gruppi e utenti ai quali vuoi concedere l'accesso all'applicazione, quindi seleziona Assign Access per completare la procedura.

La mia applicazione supporta esclusivamente OpenID Connect (OIDC). Posso usarlo con AWS SSO?

AWS SSO supporta solo applicazioni basate su SAML 2.0.

AWS SSO supporta il single sign-on sulle applicazioni native per dispositivi mobili e desktop?

AWS SSO supporta il single sign-on sulle applicazioni di business solamente tramite i browser.

Varie

Quali dati vengono archiviati da AWS SSO per mio conto?

AWS SSO archivierà dati relativi agli account e alle applicazioni cloud di AWS che sono assegnati a determinati utenti e gruppi, oltre alle autorizzazioni che sono state concesse per accedere agli account AWS. AWS SSO creerà e gestirà inoltre i ruoli IAM nei singoli account AWS per ciascun set di autorizzazioni concesso per gli utenti.

Quali funzionalità di Multi-Factor Authentication (MFA) si possono usare con AWS SSO?

Con AWS SSO, è possibile abilitare le funzionalità di autenticazione avanzata basate su standard per tutti gli utenti in tutte le origini identità. Se si utilizza un IdP SAML 2.0 IdP supportato come origine identità, è possibile abilitare le funzionalità di Multi-Factor Authentication del provider. Quando si utilizza AWS SSO o Active Directory come origine identità, AWS SSO supporta la specifica di autenticazione Web per aiutare a proteggere l'accesso degli utenti agli account AWS e alle applicazioni aziendali tramite chiavi di sicurezza con FIDO, come YubiKey, e autenticatori biometrici integrati, come Touch ID su MacBook Apple e riconoscimento facciale su PC. È inoltre possibile abilitare le password valide per un solo accesso (TOTP) utilizzando le app di autenticazione come Google Authenticator o Twilio Authy.

È inoltre possibile utilizzare la configurazione MFA Remote Authentication Dial-In User Service (RADIUS) esistente con AWS SSO e AWS Directory Service per autenticare gli utenti come forma di verifica secondaria. Per ulteriori informazioni sulla configurazione di MFA con AWS SSO, consulta il Manuale dell'utente AWS SSO.

AWS SSO supporta la specifica di autenticazione Web?

Sì. Per le identità utente nello storage delle identità di AWS SSO e Active Directory, AWS SSO supporta la specifica di autenticazione Web (WebAuthn) per aiutare a proteggere l'accesso degli utenti agli account AWS e alle applicazioni aziendali tramite chiavi di sicurezza con FIDO, come YubiKey, e autenticatori biometrici integrati, come Touch ID su MacBook Apple e riconoscimento facciale su PC. È inoltre possibile abilitare le password valide per un solo accesso (TOTP) utilizzando le app di autenticazione come Google Authenticator o Twilio Authy.

In che modo i miei dipendenti possono iniziare a utilizzare AWS SSO?

I dipendenti possono iniziare a utilizzare AWS SSO visitando il portale utente AWS SSO generato durante la configurazione della tua origine identità su AWS SSO. Se gestisci gli utenti su AWS SSO, i dipendenti possono utilizzare l'indirizzo e-mail e la password che hanno configurato con AWS SSO per effettuare l'accesso ad altri portali utenti. Se connetti AWS SSO a Microsoft Active Directory o a un provider di identità SAML 2.0, i dipendenti possono accedere al portale utente con le credenziali aziendali esistenti e visualizzare quindi gli account e le applicazioni a loro assegnati. Per accedere a un account o a un'applicazione, i dipendenti devono scegliere l'icona associata dal portale utente AWS SSO.

Sono disponibili API per AWS SSO?

Sì. AWS SSO fornisce API di assegnazione account per consentire di automatizzare la gestione delle autorizzazioni negli ambienti multi-account e recupera programmaticamente le autorizzazioni a fini di audit e di governance.

Sei pronto per iniziare?

Registrati ad AWS Single Sign-On
Hai altre domande?
Contattaci